Szkolenie: bezpieczeństwo aplikacji WWW (sesja zdalna: 27-28.07.2020)

Kamila JarosińskiSzkolenie: "bezpieczeństwo aplikacji webowych" prowadzone przez Kamila Jarosińskiego. Kamil na co dzień jest pentesterem, trenerem, aktywnym uczestnikiem programów bug bounty.

Forma szkolenia / czas trwania / materiały

Szkolenie warsztatowe prowadzone jest w formie zdalnej. W kursie możesz uczestniczyć z domu, wymagany jest własny komputer (zainstalowane narzędzie Burp Suite + dowolna przeglądarka internetowa) oraz stabilne łącze internetowe. Szkolenie jest idealne dla osób, które zaczynają swoją przygodę z bezpieczeństwem aplikacji (testerów, programistów, pentesterów). Dodatkowo:

  • Przed szkoleniem otrzymasz zadanie prework, które przygotuje Cię do szkolenia (praktyczne korzystanie z narzędzia Burp Suite) oraz w łatwy sposób sprawdzi czy Twój komputer jest gotowy do realizacji naszych zadań labowych
  • W trakcie szkolenia otrzymasz zdalny dostęp do naszego LAB-u (większość szkolenia to właśnie ćwiczenia!)
  • W trakcie szkolenia będziesz mógł poprosić trenera o pomoc w realizacji ćwiczeń
  • Otrzymasz pełną prezentację w formie PDF/HTML
  • Po szkoleniu otrzymasz certyfikat uczestnictwa (PDF)
  • Po szkoleniu dostaniesz dodatkowe zadanie on-line
  • Opcjonalnie możesz zamówić bilet z książką sekuraka: Bezpieczeństwo aplikacji WWW 

Szkolenie trwa dwa dni (pierwszy dzień 9:00 - 16:30; drugi dzień: 9:00 - 16:00; w podany czas wliczone są przerwy).

Agenda szkolenia (2 dni: 27-28.07.2020r.)

Wprowadzenie do szkolenia z bezpieczeństwa i tematyki bezpieczeństwa aplikacji webowych:

  • prezentacja przykładowego, realnego raportu z testów penetracyjnych,
  • omówienie standardów aplikacji webowych,
  • dalsze źródła wiedzy: serwisy online, literatura, narzędzia.

"Rozgrzewka" - ćwiczenie wprowadzające zapoznające z użyciem narzędzia Burp Suite Pro - będącego de facto standardem w testach bezpieczeństwa aplikacji webowych:

  • przeprowadzenie podstawowego rekonesansu,
  • ominięcie panelu logowania,
  • wykonanie dowolnego kodu po stronie systemu operacyjnego.

Rekonesans:

  • Shodan – mapowanie własnej infrastruktury, wykorzystanie filtrów,
  • Google hacking – lokalizowanie ukrytych katalogów / wersji oprogramowania / ścieżek instalacji systemów,
  • lokalizowanie ukrytych domen,
  • techniki brute force.

Podatność SQL injection:

  • 5-minutowe wprowadzenie do języka SQL,
  • kilka przykładów tej podatności w różnych miejscach aplikacji – nauka wykrywania podatności,
  • przygotowania proof of concept (nieautoryzowane pobranie danych z bazy, wykonanie kodu w systemie operacyjnym),
  • techniki omijania filtrów.

Podatność XSS:

  • wprowadzenie do podatności,
  • omówienie typów XSS (reflected, stored, DOM-based),
  • omówienie skutków podatności,
  • ćwiczenie: samodzielne znalezienie podatności w kilku miejscach aplikacji,
  • metody obrony.

Podatność CSRF:

  • ćwiczenie pokazujące możliwość wykonywania nieautoryzowanych operacji poprzez atak CSRF.

Podatność XXE / SSRF:

  • nauka identyfikacji podatności XXE,
  • wykorzystanie XXE do odczytu plików na dysku,
  • wykorzystanie XXE do przeprowadzenia ataku SSRF (Server-Side Request Forgery) w celu mapowania sieci lokalnej.

Testowanie bezpieczeństwa API REST / Webservices (SOAP):

  • wstęp do tematyki API,
  • automatyczne generowanie requestów HTTP do API na podstawie pliku WSDL,
  • automatyczne testy bezpieczeństwa SOAP / REST,
  • ręczne poszukiwanie podatności API: SOAP / REST.

Ataki na system uwierzytelnienia i autoryzacji:

  • badanie kilku aspektów bezpieczeństwa ścieżki logowania,
  • badanie wykorzystanych mechanizmów autoryzacji,
  • techniki bruteforce.

Inne informacje

Szkolenie organizowane jest przez firmę Securitum Szkolenia Sp. z o.o. Sp. k.

Po zakupieniu biletu od razu otrzymasz fakturę w formie elektronicznej. Możesz również zapłacić na podstawie faktury pro-forma, w tym celu prosimy o kontakt.

W razie pytań prosimy o kontakt. E-mail: szkolenia@securitum.pl, tel.: (12) 36 13 337


Data dodania: 13 maj 2020
Ostatnia aktualizacja: 8 cze 2020